Dell RecoverPoint for Virtual Machines の重大なゼロデイ脆弱性が、2024年中盤以降、中国の国家後援を受けたハッカーの注目を集めています。
セキュリティ企業 Mandiant と Google Threat Intelligence Group (GTIG) は、これらの攻撃を UNC6201 という脅威クラスターにリンクさせており、これは 10 以上の特許を出願しながらサイバースパイを行っていることで知られている Silk Typhoon というグループとの強い結びつきがあります。
CVE-2026-22769 として追跡されているこの脆弱性は、CVSS スケールで満点の 10.0 を記録し、攻撃者が認証なしで完全なルートアクセスを掌握することを可能にします。
攻撃者はこれを利用して高度なマルウェアを植え付け、被害ネットワークに潜入し、長期的なスパイ活動を維持することができます。
Dell ユーザー、特に重要なセクターにいるユーザーは、ハッカーがオンプレミスシステムからクラウドベースのセットアップへと焦点をシフトさせているため、大きなリスクに直面しています。
この脆弱性は、Apache Tomcat Manager 設定に埋め込まれたハードコードされたデフォルト認証情報に由来しています。
攻撃者は管理者としてログインし、悪意のある WAR ファイル(汚いコードが詰められた Java アーカイブ)をアップロードし、ルート権限でコマンドを実行します。
これにより、彼らはアプライアンスに対して完全な制御を得ます。内部に侵入すると、UNC6201 はさらに深く掘り下げるためのツールを配置します。
彼らは「Ghost NIC」と呼ばれる偽のネットワークインターフェースを VMware サーバー上に作成し、内部ネットワークとクラウド環境の間を静かに移動します。
ログには、/home/kos/auditlog/fapi_cl_audit_log.log などのファイルの /manager/text/deploy エンドポイントへの疑わしいリクエストが表示され、これは侵害の明確な兆候です。
キャンペーンは BRICKSTORM という基本的なバックドアで初期アクセスのために開始されました。2025年9月までに、UNC6201 は GRIMBOLT にアップグレードしました。これはネイティブahead-of-time (AOT) 方式でコンパイルされたスリックな C# ベースのインプランットです。
これはコードを直接マシン言語に変換し、低電力アプライアンスの速度を向上させ、ディフェンダーによる簡単な分析を回避します。
GRIMBOLT は正当なスクリプト /home/kos/kbox/src/installation/distribution/convert_hosts.sh を改ざんすることで隠れ、再起動のたびに起動するようにします。/var/lib/tomcat9/ に現れる SLAYSTYLE ウェブシェルのような他のツールは、永続性を強固にします。
これらの脅威を探すセキュリティチームは、主要なインジケーターをスキャンする必要があります。
UNC6201 の進化するトリックにより、迅速なアクションがスパイ行為のチェーンをブロックします。国家行為者がこれらのプレイを洗練させるにつれて、警戒を怠らないでください。